Provider gelangen unbemerkt und legal ins Wohnzimmer

TR-069 (Technischer Report), eine Schnittstelle im Router oder Modem, macht es möglich: Per Fernwartung und Plug and Play übernimmt der Provider die gesamte Konfiguration des heimischen Routers - was allerdings auch einige Nachteile für den Kunden birgt.
Lesen Sie den ganzen Artikel »

Werbung

Gruß zum Abend,

die Existenz der Forward-Regel bedeutet nicht, dass auch der Service erreichbar ist. Wenn der Haken bei "Automatische Einrichtung durch den Dienstanbieter zulassen" entfernt wird, ist auch kein Connect gegen den TR-069-Port der FRITZ!Box möglich. Das lässt sich einfach mit telnet gegen die öffentliche IP-Adresse der FRITZ!Box verifizieren.

Hallo stocki2008.
Das ist alles schön und gut. Doch das war ja das Problem. Es gibt in der vorliegenden FritzBox keine Möglichkeit, diesen Haken zu setzen. Ich habe also nur die Chance, die Box zu hacken, wie bereits geschehen, und die Einträge dort zu löschen.

Die Voreinstellungen sollten daher vom Werk abgeschaltet sein. Der Provider könnte beispielsweise den Kunden fragen, ob er den Service nutzen möchte, und vorkonfigurierte Boxen versenden.

Aber das wird wahrscheinlich ein zu großer Aufwand sein - also für den Provider.

In diesem Sinne: Danke für Deine Meinung

Laengsynt

HiHo am Nachmittag,

wenn ich die Experteneinstellung aktiviere, finde ich bei mir bei aktiviertem TR-069 unter System->Netzwerkeinstellungen den Punkt "Automatische Einrichtung durch den Dienstanbieter zulassen". Einfach hier den Haken wegnehmen und schon ist der Port 8089 von Außen nicht mehr erreichbar. Ich hoffe es klappt. btw, mit netstat oder einfach http://fritz.box/html/support.html werden auch die LISTEN Ports angezeigt. Der Port 8089 ist dann weg.

Hallöchen am Abend.
Deine Einstellungen und damit die Möglichkeiten sind ja auch ok. Doch sind diese nicht bei jeder Box vorhanden. Es geht ja auch nicht nur um das Häckchen; vielmehr um die Sache selbst: So haben die Provider reagiert und den Haken bei "dauerhaft im Netz bleiben" herausgenommen. Es waren aber erst Klagen von Usern, die die Provider dazu zwangen. User wollen selbstständig bleiben und das wird ihnen mit beispielsweise dieser Schnittstelle genommen. Ach ja, als kleine Info: Wenn ich die Box mit dem Haken gesetzt habe und bei Freenet einen Tarif wähle - kann ich bei der ersten Installation nichts machen. Ich muss also die Anmeldung automatisch über mich ergehen lassen.

Ist alles nicht so dolle, wie es scheint.

LG Laengsynt

Hallo Laengsynt,

> Doch sind diese nicht bei jeder Box vorhanden

ich war nun irritiert wegen der Erwähnung der FRITZ!Box im Artikel, die ist hier aus meiner Sicht sauber.

> So haben die Provider reagiert und den Haken bei "dauerhaft im Netz bleiben" herausgenommen

das kenne ich nicht und taucht auch im Artikel nicht auf. Wie soll denn dann VoIP funktionieren, wenn die Geräte nicht dauerhaft im Netz bleiben (VoIP über einen anderen PVC)? Meine FRITZ!Box ist am 1&1-Anschluss sauber, ich habe aber auch die AGB´s gelesen

> Wenn ich die Box mit dem Haken gesetzt habe und bei Freenet einen Tarif wähle...

Wer die Assistenten nicht mag, sollte halt direkt die Einstellungen vornehmen. Diese Freiheit gibt mir meine FRITZ!Box.

> Ist alles nicht so dolle, wie es scheint.

Mein Schwager, der handelt mit Fisch, der freut sich, wenn ihm Konfigurationsarbeiten abgenommen werden, der will sich aber auch nicht tief mit der Materie beschäftigen, der will Internet/VoIP nur einfach nutzen. So gibt es unterschiedliche Sichtweisen.

Gruß,
-- Stocki

Hallo stocki2008.
Ich muss hier dann doch mal was klarstellen, auch weil die Herren/Damen bei AVM etwas Panik schieben und den Sinn des Artikels falsch verstanden haben. Was ja auch nicht weiter schlimm ist.

Der Sinn, der hinter dem Artikel steckt, ist folgender: Hier geht es erst einmal um den Rundum-Service, der auch die Sicherheit beinhaltet. Diese ist in keiner Weise gegeben. Nicht weil AVM den Haken weg lässt. Auch nicht, weil der Haken bei manchen nicht veränderbar scheint.

Der gesamte Einrichtungs-Service fängt bei den Providern an. Diese klären nur ganz ganz vorsichtig und leise über diese Schnittstelle auf. Ich habe heute einfach mal, um mir auch selbst ein Bild davon zu machen, bei Freenet angerufen. Das hat mich knapp 3 Euro gekostet, aber mich auch bestätigt. Im Service wusste man erst nicht, was diese Schnittstelle ausmacht und dann wurde diese noch als "grundsätzlich" nicht benötigt deklariert. Wie ich finde ein völlig falscher Service - weil schlecht ausgebildet und schon Standard bei Freenet.

Ich mache aber den Mitarbeitern keinen Vorwurf. Dazu möchte ich hier bescheinigen, dass auch alle anderen Provider solchen schlechten Service bieten. Es wird also Hardware ausgeliefert, Sachen eingerichtet und der Kunde wird dumm gehalten. Auch weil er sich nicht dafür interessiert...

Doch hier fängt meines Erachtens die Aufklärung an. Ein Kunde will davon nichts wissen, weil er denkt, es wird lediglich die Einwahl eingerichtet. Das ist leider nicht "alleine" der Fall. Die Möglichkeiten, die der Provider nach dem Einrichten besitzt sind nicht viele - doch besitzt er sie. Und ich bin mir sicher: Wenn der Kunde das auch wüsste, würde er den Haken, gerne auch vom Techniker, wegmachen lassen (Was natürlich Geld kostet).

VoIP kann man auch nach einer Einwahl tätigen und nicht alle besitzen eine Flat. Und natürlich freut sich meine Oma auch, wenn ich ihr alle Einstellung abnehme. Doch freut sie sich auch, wenn ich sie dementsprechend absichere. Das macht leider kein Hersteller und auch kein Provider.

Hier muss ich auch noch einmal klarstellen, dass AVM natürlich nicht alleine dasteht. Auch andere Hardware.Hersteller sind gemeint. Für den Test hat eben eine FritzBox herhalten müssen und war natürlich, siehe Vorkonfiguration, ein tolles Beispiel.

Gruß Laengsynt

hallo,

>Der Sinn, der hinter dem Artikel steckt, ist folgender: Hier geht es erst einmal um den Rundum-Service, der auch die Sicherheit beinhaltet. Diese ist in keiner Weise gegeben.

In welchem Rahmen muesste denn mehr Sicherheit vorhanden sein?
TR-069 kommuniziert via HTTP und somit ist auch Verschluesslung der Payload moeglich. Desweiteren definiert sich "Sicherheit" ja lediglich im moglichen Mitsniffen und simulieren von TR-069 Informs - was gute ACS-Systeme via Plausibility-Checks abfangen koennen sollten.

> Der gesamte Einrichtungs-Service fängt bei den Providern an. Diese klären nur ganz ganz vorsichtig und leise über diese Schnittstelle auf.

Noe, steht ganz oeffentlich auf Heise & Co - Jeder Provider wirbt eher mit dieser Schnittstelle, da sie nachweislich die Kundenzufriedenheit steigert und den Support verbessert.

> Im Service wusste man erst nicht, was diese Schnittstelle ausmacht und dann wurde diese noch als "grundsätzlich" nicht benötigt deklariert.

Haben Sie etwa im First-Level Callcenter Fragen aus der tiefen IT gestellt? First-Level macht sich in erster Linie durch Kundenbetreuung und das Eliminieren von Grundsatzfehlern aus. Aber ich nehme an das wussten Sie.

> Wie ich finde ein völlig falscher Service - weil schlecht ausgebildet und schon Standard bei Freenet.

Falsch. Firstlevel wendet TR-069 an, Sie koennen hier keine qualfizierte hochtechnische Antwort erwarten. Lassen Sie sich doch von freenet mal bei einem echten (simulierten) Problem helfen.
Und bitte - definieren Sie nicht den Service eines ISPs anhand EINER Frage bei EINEM Mitarbeiter. Ich degradiere Netzwelt auch nicht wegen dieses einen Artikels.

> Es wird also Hardware ausgeliefert, Sachen eingerichtet und der Kunde wird dumm gehalten. Auch weil er sich nicht dafür interessiert...

Wo bitte geht es darum den Kunden fuer dumm zu halten? Der Nutzen eines ISPs/Carriers von TR-069 liegt im Support und der Vereinfachung der Erstinstallation. Wenn Behoerden an die Konfiguratinosdaten kommen wollen, dann haben Sie andere Mittel - Beispielsweise ueber die bereits vorhandenen CRM Systeme.
Koennen Sie mir einen Nachteil des Kunden durch TR-069 nennen?

> Ein Kunde will davon nichts wissen, weil er denkt, es wird lediglich die Einwahl eingerichtet. Das ist leider nicht "alleine" der Fall.

Korrekt, es werden auch Konfigurationsdaten im Supportfall "gezogen". Das ist jedoch kein Geheimnis. Und auch das birgt keinen Nachteil fuer den Enkunden (wenn doch, bitte, bitte, sagen Sie ihn mir!). Betrugsrisiko seitens Dienstanbieter ist auch ausgeschlossen nicht groesser als sonst (wenn ueberhaupt vorhanden).

> Und ich bin mir sicher: Wenn der Kunde das auch wüsste, würde er den Haken, gerne auch vom Techniker, wegmachen lassen (Was natürlich Geld kostet).

Wieso sollte er?

> VoIP kann man auch nach einer Einwahl tätigen und nicht alle besitzen eine Flat.

*Hust* wie wollen Sie sich denn anrufen lassen, wenn Sie offline sind....? Technisch disqualifizierendes Statement!

> Und natürlich freut sich meine Oma auch, wenn ich ihr alle Einstellung abnehme. Doch freut sie sich auch, wenn ich sie dementsprechend absichere. Das macht leider kein Hersteller und auch kein Provider.

Und abermals: wovon denn bitte absichern lassen?

> Hier muss ich auch noch einmal klarstellen, dass AVM natürlich nicht alleine dasteht. Auch andere Hardware.Hersteller sind gemeint. Für den Test hat eben eine FritzBox herhalten müssen und war natürlich, siehe Vorkonfiguration, ein tolles Beispiel.

1.) In der Tat, die Menge an Herstellern welche TR-069 unterstuetzen wird immer groesser - doch mal unter uns: was nuetzt denn das TR-069 einer AVM wenn der Dienstanbieter keinen ACS bietet der mit ihr spricht

2.) In der Regel setzt jeder ISP/Carrier eine eigens gebrandete Firmware der CPEs ein. Diese enthaelt die Einstellungen nach Vorgabe des Dienstanbieters.
-> Fehlerhaftes Fingerpointing!

Viele Gruesse
Sigfried

Hallo Sigfried.
Bin gerade auf Deine Antwort gestoßen. Bitte entschuldige, doch bin ich nicht mehr bei der Netzwelt. Leider hast Du den Artikel falsch verstanden.

Ich beschreibe in diesem lediglich die Möglichkeit des Angriffs und diese ist wahrhaftig keine "solala" oder "das nehmen wir einfach mal so hin"-Aktion. In dem Test beziehe ich mich auf eine Fritzbox, welche frei gekauft wurde. Sie dürfte laut AVM ein solches Protokoll gar nicht besitzen. Das ist Fakt und ziemlich daneben.

Zu dem Zeitpunkt des Tests hat Freenet damit begonnen das Protokoll einzusetzen. Die anderen Provider haben lediglich nachgezogen. Daher auch nur ein Provider.

Ich bin "in dieser" Schnittstelle auch schon etwas weiter fortgeschritten und Du wirst es nicht glauben. Aber es gibt bereits Hacks, die sämtliche Sicherheitsvorkehrungen auf Seiten des Providers ignoriert haben.

Dass der Staat kein Interesse hegt, diese Technik für sich zu beanspruchen, bezweifel ich einfach mal stark bis aufbrausend.Günstiger kann man auf die besagten Daten nicht zugreifen. Und Du glaubst nicht, was sich hinter dieser Schnittstelle alles so verbirgt. Du solltest mal mit einigen guten Programmierern sprechen. Die können Dir darüber ein Liedchen singen. Nichts ist heutzutage sicher - wenn man es nicht selbst in der Hand hat.

Die Abhängigkeiten, auch die der Provider selbst, machen angreifbar.

Zu den Services muss ich Dir ebenfalls widersprechen. Wenn der Firstlevel das Protokoll pflegt, was er "tut", ist er auf solche Fragen vorzubereiten. Ich habe selbst in der Technik bei Freenet gearbeitet und war auch im Second Level. Wir wussten auch nicht immer alles...

In diesem Sinne.

Die Möglichkeiten einer Technik bringen die Stories von Morgen.

Ach ja, man kann die VoIP-Funktion auch ohne Flat und den besagten Haken nutzen. Von Offline war hier nie die Rede. Gute Router regeln das auch ohne irgendwelche zusätzlichen Dinge. Hierzu muss man nur einige Einstellungen in den Routern ändern.

Dennoch danke für Deinen Kommentar.

Die Laengsynt.

Tach Laeng,

auch ich habe soeben erst deinen Artikel bemerkt

>Ich beschreibe in diesem lediglich die Möglichkeit des Angriffs und >diese ist wahrhaftig keine "solala" oder "das nehmen wir einfach mal so >hin"-Aktion. In dem Test beziehe ich mich auf eine Fritzbox, welche frei >gekauft wurde. Sie dürfte laut AVM ein solches Protokoll gar nicht >besitzen. Das ist Fakt und ziemlich daneben.

Ich gebe Recht falls es sich um eine Fehlauskunft handelt. Das Protokoll ist meines Wissens aber auf allen Geraeten installiert - ob es auch aktiviert ist, ist eine andere Frage.

>Ich bin "in dieser" Schnittstelle auch schon etwas weiter >fortgeschritten und Du wirst es nicht glauben. Aber es gibt bereits >Hacks, die sämtliche Sicherheitsvorkehrungen auf Seiten des Providers >ignoriert haben.

Ich bin mir sicher dass du dich tief in das Thema eingearbeitet hast, bevor du einen solchen Artikel verfasst hast.
Aber auch ich habe beruflich mit dieser Schnittstelle seit Anbeginn selbiger zu tun.
Die Definition "Sicherheitsvorkehrungen auf Seiten Providers" gibt es nicht, ergo koennen auch nicht "sämtliche" ignoriert werden - Sicherietsvorkehrungen variieren stets vom angewandten Setup.

Nimm doch mal SSL-Authentifizierung. Wie willst du das bitte einfach "ignorieren" ?
Oder Port-basierte Authentifizierung des CPE?
Oder...oder...

>Dass der Staat kein Interesse hegt, diese Technik für sich zu >beanspruchen, bezweifel ich einfach mal stark bis aufbrausend.Günstiger >kann man auf die besagten Daten nicht zugreifen.

Freilich. Ich glaube dir ist nicht bewusst, was auf das Geraet gesendet / davon geholt werden kann. Es handelt sich hier bei 90% um Konfigurationsdaten, die aus dem Provider-eigenen Backend (CRM,..) kommen. Somit ist es fuer den Staat einfacher, direkt dort reinschauen zu lassen, sollte er Interesse an diesen Daten haben.
Bei den restlichen 10% handelt es sich um Statistik-Daten wie Traffic, Rauschwerte, usw. Auch diese lassen sich besser ueber den VoIP-Softswitch, BRAS oder andere Geraete auslesen.

=> Es gibt KEINEN Wert in TR-069, der nicht in irgend einem anderen System vorhanden ist.

Zu guter letzt eine Randinfo: Passwoerter und -phrases werden ueber TR-069 nicht versendet.

Mach dir lieber Sorgen, ob dein Provider nicht heimlich deine E-Mails liest..

>Und Du glaubst nicht, was sich hinter dieser Schnittstelle alles so >verbirgt. Du solltest mal mit einigen guten Programmierern sprechen. Die >können Dir darüber ein Liedchen singen.

Wie gesagt - ich arbeite beruflich selbst damit - und es gibt hier nichts schokierendes.
Werte setzen, holen, Firmware-Updates, Factory-Reset und Reboot sind die moeglichen Operationen.

==> ?

>Nichts ist heutzutage sicher - wenn man es nicht selbst in der Hand hat.

Wie gesagt - gerade seit Datenvorratsspeicherung hat der Provider noch ganz andere Moeglichkeiten, an deine "sicheren" Infos zu kommen. Die Moeglichkeiten selbiges ueber TR-069 zu ziehen ist hierbei .. naja, ich nenne es "lächerlich".

>Die Abhängigkeiten, auch die der Provider selbst, machen angreifbar.

>Zu den Services muss ich Dir ebenfalls widersprechen. Wenn der >Firstlevel das Protokoll pflegt, was er "tut", ist er auf solche Fragen >vorzubereiten.

Er "pflegt" nicht, er wendet an!
Pflegen tut der Staff, also ACS-Lieferanten, CPE-Lieferanten, Provider-Techniker usw.

Metapher hierzu: Du fragst am Zooeingang bei der netten Kassiererin ueber Informationen zu ihrer Kassen-software aus.
Und bist ueberrascht keine fachgerechte antwort zu erhalten?

>Ich habe selbst in der Technik bei Freenet gearbeitet und war auch im >Second Level. Wir wussten auch nicht immer alles...

Ach, und das trotz der Transparenz, die TR-069 angeblich bietet?
Nix fuer ungut.

>Ach ja, man kann die VoIP-Funktion auch ohne Flat und den besagten Haken >nutzen. Von Offline war hier nie die Rede. Gute Router regeln das auch >ohne irgendwelche zusätzlichen Dinge. Hierzu muss man nur einige >Einstellungen in den Routern ändern.

Korrekt - das CPE muss online sein, damit eingehende Anrufe angenommen werden koennen. Meist wird VoIP ohnehin ueber eigene PVCs/VLANs betrieben, welches gar nicht im "echten" Internet haengt.

So long,
sigfried